Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas Operacionais Open Source V Prof. Ricardo Mercês ricardo.merces@prof.infnet.edu.br Objetivos O módulo (Sistemas Operacionais Open Source V) tem como objetivo dar continuidade ao processo de capacitação para que o administrador do sistema possa utilizar, adaptar e administrar um Sistema Linux. Avaliações Critério de composição das notas: AV1 = PI + Fórum (30%) AV2 = Avaliação realizada na aula 9 (70%) CP (conceito preliminar) = AV1 + AV2 Caso o CP >=60 , o aluno é aprovado Caso o CP <60, o aluno deverá realizar a prova final* Caso haja um teste o mesmo será realizado na aula 5 e será computado como ponto extra. Frequencia O aluno que não obtiver a freqüência mínima de 75% das aulas de cada módulo ficará reprovado naquele módulo, ficando obrigado a assisti-lo novamente em turma que disponha de vagas. Em particular, como os módulos serão ministrados ao longo de 11 aulas, o aluno deve ter em mente que ter mais de 3 (três) faltas em um módulo significará a sua reprovação por falta. Fonte: Manual do aluno Infnet Tópicos • Controle de acesso – TCP_Wrappers – IPTABLES • Protegendo dados: – Conceitos em criptografia – O serviço OpenSSH – Utilitários para criptografia • DNS – Bind Aula 1 Controle de acesso - TCP_wrapper TCP Wrappers e Xinetd Controlar o acesso aos serviços de rede é uma das tarefas de segurança mais importantes para um administrador de servidor. O Linux fornece diversas ferramentas para este propósito. Por exemplo, um firewall baseado em iptables filtra pacotes de rede indesejados. Para os serviços suportados o s TCP Wrappers adicionam uma camada a mais de proteção definindo quais hosts ou serviços poderão ou não ser acessados. Um tipo de serviço de rede wrapped é o xinetd super server. O serviço é chamado super server porque ele controla conexões de um subconjunto de serviços de rede (serviços legados). Camadas de Proteção Serviços gerenciados pelo xinetd • Os serviços básicos de internet são gerenciados pelo xinetd • Conhecido também como Super Server substitui o antigo inetd • Arquivos de configuração: /etc/xinetd.conf, / etc/xinetd.d/serviço • Linkado com a libwrap.so • Serviços controlados através do chkconfig: • chkconfig lftp on Configuração principal do xinetd # /etc/xinetd.conf defaults { enabled = yes instances = 50 per_source = 10 v6only = no log_type = SYSLOG daemon info log_on_failure = HOST log_on_success = PID HOST DURATION EXIT cps = 50 10 banner = /some/file } includedir /etc/xinetd.d /etc/xinetd.d/serviço Configuração específica para cada serviço #serviço tftp { disable = yes socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = -c -s /tftpboot per_source = 11 cps = 100 2 flags = IPv4 } Controles de acesso xinetd • Sintaxe • only_from • no_access • Exemplo: • only_from = 192.168.0.0/24 • no_access = 192.168.0.1 Controlando acesso de hosts • Equipamentos podem ser identificados na configuração através de: • Endereço numérico (192.168.0.10) • Nome de rede (/etc/networks) • Hostname ou domínio (.infnet.edu.br) • Endereço IP/máscara (192.168.0.0/24) • Número de conexões simultâneas • Sintaxe: per_source = 2 • Não pode exceder número máximo de instâncias TCP Wrappers • Configuração específica dos serviços • Daemons como httpd, smbd, squid, etc. provêem mecanismos de segurança específicos • Configuração geral (tcp_wrappers) • Todos os programas ligados à libwrap.so usam uma configuração comum • Como o xinetd é ligado à libwrap, seus serviços são afetados • Permite testes por host e/ou nome de usuário remoto Configuração do tcp_wrappers • Três estágios de checagem • O acesso é explicitamente permitido? • Se não, o acesso é explicitamente negado? • Se não, por padrão, permita o acesso! • Configuração armazenada em dois arquivos: • Liberações em /etc/hosts.allow • Proibições em /etc/hosts.deny • Sintaxe básica: • serviço: lista_de_clientes [:opções] Especificação de daemons • Nome do daemon: • Aplicações passam o nome de seus executáveis • Múltiplos serviços podem ser especificados • Use o curinga ALL para associar todos os daemons • Limitações existem para alguns serviços • Sintaxe avançada: • daemon@host: lista_de_clientes ... Especificação de clientes • Por endereço IP (192.168.0.1) • Por nome (www.centos.org, example.com) • Por rede (10.0.0.) • Por máscara de rede (172.31.8.0/255.255.255.0) Macros pré-definidas • Macros para nomes de hosts • LOCAL • KNOWN, UNKNOWN, PARANOID • Macro para hosts e serviços • ALL • EXCEPT • Pode ser usada para hosts e serviços • Pode ser combinada Opções estendidas (1) • Sintaxe: • serviço: lista_hosts [:opç1 :opç2 ...] • spawn • Pode ser usada para iniciar programas adicionais • Expansões especiais disponíveis • Exemplo: (leia como uma só linha) in.telnetd: ALL : spawn echo “Tent. login %c - %s” | mail –s ALERTA root Opções estendidas (2) • DENY • Pode ser usada como uma opção em hosts.allow • Exemplo: ALL: ALL: DENY Exemplo de configuração # /etc/hosts.allow vsftpd: 192.168.0. in.telnetd, portmap: 192.168.0.8 # /etc/hosts.deny ALL: .cracker.org EXCEPT trusted.cracker.org vsftpd, portmap: ALL sshd: 192.168.0. EXCEPT 192.168.0.4 LABS
Compartilhar